国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　在之前的文章中(APT報復打擊背后的奧秘：報復打擊性質(zhì)及特點闡發(fā);報復打擊前的"敵情"窺伺;報復打擊時的兵器與手段;報復打擊時的縫隙操縱)，我們已體味了APT報復打擊的特點、"敵情"窺伺、報復打擊的兵器和手段和APT報復打擊的縫隙操縱。本文我們將切磋APT報復打擊中的號令和節(jié)制，在這個階段，報復打擊者已侵進了你的收集，并將開端進行最后的報復打擊勾當，這個階段凡是被稱為C2。

　　報復打擊者已完成了窺伺、兵器化和傳送和縫隙操縱和安裝階段，此刻的標題問題是，你是直接報復打擊方針仍是為報復打擊者供給報復打擊機緣？這個標題問題標謎底將決定你若何應對C2階段。

　　正如前面提到的，被動報復打擊(即你不是直接報復打擊方針)很被動。是以，當終端因為路過式下載報復打擊或歹意郵件附件被傳染時，安裝過程很是等閑檢測。但有時辰路過式報復打擊會操縱縫隙操縱東西包，而這只需要很少的用戶交付，也可能沒法被檢測。

　　前面的文章中也提到過，被動報復打擊勾當首要取決于報復打擊量。當報復打擊者匯集了身份驗證和財務信息(一般報復打擊的首要方針)后，報復打擊者需要為每臺傳染主機成立一個C2通道。在這類環(huán)境下，沒有變種和流量限制，只有對數(shù)千臺傳染主機的一個聯(lián)系點。

　　C2階段主如果關(guān)于通信，但要記住，C2階段其實不包含數(shù)據(jù)傳輸。C2階段是成立通信通道，承諾報復打擊者與外部溝通。

　　被動報復打擊是主動化的。主動化可以幫忙報復打擊者實現(xiàn)報復打擊量，因為幾近不需要交互。但是，這類主動化意味著他們可能被發(fā)現(xiàn)。當企業(yè)內(nèi)50個系統(tǒng)與不異未知主機通信，可能會被寄望到。

　　有針對性的報復打擊則更具體，幾近沒有主動化。報復打擊者將會發(fā)出號令，并利用特定的東西。有針對性報復打擊的所有勾當都是有目標的，并會盡力回避窺伺，盡可能保持低調(diào)。

　　當你的企業(yè)淪為被動報復打擊受害者，報復打擊者利用的主動化東西沒法回避現(xiàn)有安然節(jié)制緩和解辦法的檢測，因為它們制造了太多動靜。是以，企業(yè)應當盡快禁止這類報復打擊。

　　需要寄望的是，被動報復打擊采取主動化編制是因為，這些報復打擊勾當背后的把持者更側(cè)重報復打擊量，而不是節(jié)制。假定他們的歹意軟件或其他有效載荷被發(fā)現(xiàn)和禁止，這并沒甚么大年夜不了，他們可以頓時轉(zhuǎn)移到其他受害者。

　　但是，假定企業(yè)淪為有針對性報復打擊的受害者，這意味著報復打擊者將會在企業(yè)內(nèi)找到安身點，并會繞開安然節(jié)制或避免安然節(jié)制來避免被發(fā)現(xiàn)。別的，報復打擊者還會試圖成立后門法度到其他系統(tǒng)，成立更多切進點，以防此中一個切進點被發(fā)現(xiàn)。是以，在企業(yè)的事務響應打算中，一個很好的經(jīng)驗法例是，假定你看到一個后門法度，這意味著還暗藏著其他后門法度。

　　“堅實的”C2是指報復打擊者可以動態(tài)調(diào)劑其法度，增加事務響應者手動檢測的難度，乃至不成能。這也是數(shù)據(jù)泄漏變亂很長時候才被發(fā)現(xiàn)的啟事。

　　正如第三篇文章中所述，報復打擊者常常會回調(diào)以獲得額外的東西，或利用有效載荷發(fā)出外部要求。這些傳染指標可以或許清晰地揭露C2勾當，因為與正常收集流量比擬，這些有些異常。

　　是以，企業(yè)應當對比DNS要乞降已知歹意辦事器列表，或過濾有著不良名譽的IP地址，以應對這類類型的流量。在縫隙操縱和安裝階段后，C2階段是報復打擊者少數(shù)制造動靜的期間。但是，當這些流量被主動化檢測標識表記標幟時，則表白是被動報復打擊。

　　如許想，假定報復打擊勾當背后的把持者在利用C2通道或從已知歹意來歷下載有效載荷，你的企業(yè)多是報復打擊者的方針之一。在另外一方面，有針對性報復打擊勾當背后的把持者會謹嚴避免被檢測。他們會將C2流量隱躲在正常通信通道內(nèi)。

　　在C2成立后，報復打擊者就成功了一半。一般被動報復打擊是主動化的，動靜很大年夜，并且會當即策動報復打擊，而有針對性報復打擊則會暗藏數(shù)天、數(shù)周乃至數(shù)月。是以，在C2階段，流量監(jiān)控是關(guān)頭防御辦法。假定可以或許連絡前面提到的防御辦法，你就成立了一個強有力的分層呵護。

　　只要準確建設和保護(包含按期更新)，IPS和IDS系統(tǒng)可作為第一層防御。然后，企業(yè)需要ACL法則來經(jīng)由過程防火墻限制進站和出站連接。但是，還需要限制防火墻法則中例外的數(shù)量，并且需要對這些例外進行緊密密切檢測，或在不需要時撤消。在有針對性報復打擊期間，你的安然法則和政策可能被用來針對你，出格是當它們過時或不受監(jiān)管時。

　　最后，企業(yè)應當監(jiān)控收集上流量的移動環(huán)境，更首要的是，監(jiān)控移動到外部的流量。同時，存眷紅色標識表記標幟的事務，例如點竄HTTP表頭，和到未知IP地址或域名的連接。加密流量是被動報復打擊和有針對性報復打擊勾當利用的常常利用技能，在這類環(huán)境下，C2可能更難被發(fā)現(xiàn)，但也不是沒有可能。你可以查找自簽名證書和未經(jīng)核準或非尺度加密利用。